Als Spam ^* werden unerwünschte, in der Regel auf elektronischem Weg übertragene Nachrichten bezeichnet, die dem Empfänger unverlangt und unerwünscht zugestellt werden und massenhaft versandt wurden oder werbenden Inhalt haben. Dieser Vorgang wird Spamming oder Spammen genannt, der Täter Spammer.

Begriffsherkunft

---

Spam.jpg Der Begriff entstammt dem Spam Sketch der englischen Comedyserie Monty Python's Flying Circus: In einem Café besteht die Speisekarte ausschließlich aus Gerichten mit Spam, die „Spam“ teilweise mehrfach hintereinander im Namen enthalten (Spam ist ein Markenname für Dosenfleisch, 1936 entstanden aus spiced ham, fälschlich auch spiced pork and meat/ham).

Ein Gast verlangt nach einem Gericht ohne Spam, die Kellnerin empfiehlt ein Gericht mit „wenig“ Spam. Als sich der Gast daraufhin aufregt, fällt ein Chor aus Wikingern, die die beiden anderen Tische besetzen, mit einem Loblied auf Spam ein, bis der Sketch im Chaos versinkt. Im anschließenden Abspann wurden die Namen der Mitwirkenden ebenfalls um „Spam“ ergänzt. Im Sketch wird das Wort Spam insgesamt knapp 100 mal erwähntText des Sketches.

Die Nutzung des Begriffs Spam im Zusammenhang mit Kommunikation hat ihren Ursprung wahrscheinlich in den Multi User Dungeons. Dort bezeichnete Spam zunächst nicht Werbung, sondern das von manchen Nutzern praktizierte massenhafte Überschwemmen des Text-Interfaces mit eigenen Botschaften (vgl. Flood). In den Zusammenhang mit Werbung gebracht wurde das Phänomen Spam zum ersten Mal im Usenet. Dort bezeichnet man damit wiederholte Artikel in den Newsgroups, die substanziell gleich sind oder für dieselbe Dienstleistung werben.

Auswirkungen

---

Spam verursacht im System der weltweiten E-Mail-Kommunikation einen erheblichen Schaden. Da heutzutage kaum mehr ungestörter E-Mail-Empfang möglich ist, wird angenommen, dass immer mehr Nutzer die Kommunikation per E-Mail meiden und auf weniger störanfällige Kommunikationsformen ausweichen, selbst wenn diese weniger komfortabel sind.

Spam verursacht Kosten

• durch verlorene Arbeitszeit, die durch das Aussortieren und Lesen von Spam entfällt.
• Teilweise haben Mailboxen ein Größenlimit. Sobald dieses erreicht wurde, werden keine weiteren Nachrichten angenommen und der Empfang von weiteren E-Mails blockiert. Dadurch können in ungünstigen Fällen Verluste durch versäumte Fristen oder Termine oder entgangene Aufträge entstehen.
• durch die Beschaffung neuer und in der Regel schnell veralteter Filtersoftware und -hardware. Da Spamfilter keine 100% Trefferrate erreichen können, entstehen zudem Schäden in häufig nicht zu beziffernder Höhe durch fälschlich blockierte Nachrichten, sowohl beim Absender, der die Nachricht erneut versenden muss, als auch beim Empfänger, der die Nachricht nicht erhält.
• durch Internet-Verbindungskosten: Unternehmen und Internet-Provider bezahlen ihre Leitungen typischer Weise nicht nach Zeit, sondern nach übertragener Datenmenge oder mittlerem Datendurchsatz. Damit entstehen Kosten für jedes Byte Spam, das über die Leitung wandert.
• durch ausfallende oder langsamer arbeitende Mailserver. 2004 wurden unter anderem die Server der TU Braunschweig, der FU Berlin und der Bundesregierung (siehe Literatur) per Spam-Mail attackiert. Damit entstehen massive wirtschaftliche und technische Schäden und Gefahren.
• bei Fax-Spam kommen noch die Kosten für den Verbrauch von Papier und Tinte/Toner hinzu.

Die durch Spam entstandenen Zusatzkosten für 2004 wurden mit 25 Milliarden Euro beziffert.

Arten von Spam

---

Heute wird die Bezeichnung Spam für eine Vielzahl verschiedener, unerwünschter Nachrichten verwendet, die in den folgenden Abschnitten beschrieben sind.

E-Mail-Spam

Unsolicited Bulk Email (UBE)

An erster Stelle ist, wegen des großen Umfangs und des daraus resultierenden Bekanntheitsgrades, Unsolicited Bulk Email (UBE) „Unverlangte Massen-E-Mail“, zu nennen. Es handelt sich dabei um E-Mails, die unangefordert an eine große Anzahl von Empfängern verschickt werden. Häufig handelt es sich dabei um E-Mail-Marketing-Aktionen – missionierende oder volksverhetzende E-Mails, Phishing-Mails oder Kettenbriefe gehören aber ebenfalls in diese Kategorie.

Unsolicited Commercial E-Mail (UCE)

Unsolicited Commercial E-Mail (UCE) „Unverlangte E-Mail-Werbung“ sind E-Mails mit werbenden Inhalten, die unangefordert an Empfänger (auch einzelne oder wenige) verschickt werden. UCE ist in Deutschland unter bestimmten Umständen legal, siehe unten. Häufig sind E-Mails mit den Kennzeichen von UBE und UCE zu finden, also massenhaft versandte Werbe-E-Mails. Typische Beispiele für UCE sind dubiose oder besonders günstig erscheinende Angebote für Sex, Penis- oder Lebensverlängerung, Software, Markenprodukte, Medikamente oder Finanzdienstleistungen.

Den Begriff der unerwünschten Werbung hat die deutsche Rechtsprechung mittlerweile definiert. Dabei ist Werbung immer dann unerwünscht, wenn sie nicht voraussichtlich im Interesse des dem Versender bereits bekannten Empfängers liegt (z. B. Information zu einer Auftragsergänzung oder Schnäppchenangebote für Stammkunden) oder keine explizite Zustimmung des Empfängers vorliegt. Die Einwilligung des Empfängers in künftige Werbesendungen wird in der Praxis häufig über nebulöse AGB zum Beispiel bei Preisausschreiben oder Foren-Registrierungen erschlichen. Das mutmaßliche Interesse des Empfängers soll es dem Absender ermöglichen, Geschäfte anzubahnen. Auch setzt die Rechtsprechung strenge Maßstäbe an das gemutmaßte Interesse, um es nicht zu einem Freibrief für unlautere Versender von Werbe-E-Mails verkommen zu lassen. Die Begründung für die Mutmaßung muss individuell, also für jeden Empfänger, schlüssig vorgetragen werden. Der Absender der Werbung ist dabei beweispflichtig. Insofern trifft ihn eine Beweislastumkehr.

Kollateraler Spam

Als kollateraler Spam werden E-Mails bezeichnet, die von einem Mail-System automatisch als Antwort auf eine eingehende E-Mail erzeugt werden und einem unbeteiligten Dritten zugestellt. Kollateraler Spam entsteht vor allem, wenn E-Mails mit gefälschtem Absender (dem Absender des unbeteiligten Dritten) verschickt werden, das E-Mail-System des Empfängers diese E-Mail annimmt und daraufhin eine Fehlermeldung an den vermeintlichen Absender schickt. Auslöser sind besonders häufig Malware- oder Spam-Mails, da hier in der Regel gefälschte Absender benutzt werden. Kollateraler Spam wird aber auch von Empfängern erzeugt, die in Verkennung der Lage, den vermeintlichen Absender einer Spam-Mail oder eines Viruses mit Beschwerde E-Mails oder Mailbomben eindecken.

E-Mail-Spam mit eigenen Bezeichnungen

Einige Sorten von E-Mail Spam sind sehr auffällig, weshalb sich eigene Bezeichnungen entwickelt haben.

Scam

Mit Scam-Mails wird eine Gelegenheit angepriesen, mit der der Empfänger leicht an Geld kommen kann. Besonders häufig fällt dabei die Nigeria-Connection auf, leicht zu erkennen an einem sehr langen, larmoyanten, anbiedernden Text, oft in Großbuchstaben und mit geradezu aberwitzig hohen Geldbeträgen. Hauptartikel siehe: Scam.

Phishing

Mit Phishing Mails wird versucht, an vertrauliche Daten des Empfängers zu kommen, z.B. an Zugangsdaten für Online-Banking. Üblicherweise behauptet die Mail von einem dem Empfänger bekannten Unternehmen oder Anbieter zu sein und enthält Links zu den vermeintlichen Einstiegsseiten. Wird diese Art Betrugsmail massenhaft versendet, wird meist auf Anbieter mit entsprechend vielen Kunden gezielt oder dort wo der Betrüger einen Zusammenhang zwischen Adressen und Anbieter herstellen kann, z. B. beim Mail-Provider. Hauptartikel siehe: Phishing.

Joe-Job

UBE-E-Mails, die so aussehen, als kämen sie von einer anderen Person als dem Täter. Zum Beispiel hat der Täter den Namen und/oder die E-Mail-Adresse einer bestimmten Drittperson in der E-Mail angegeben. Verfolgungsmaßnahmen gegen den vermeintlichen Täter treffen und schaden der Drittperson, was das eigentliche Ziel des Joe Jobs ist.

Hoax

Sensationelle, aber meist falsche Gerüchte, die unbedarft an möglichst viele Freunde und Bekannte weitergeleitet werden, weil sie so aufregend sind. Siehe auch Kettenbriefe. Im Gegensatz zu Würmern wird hier der Empfänger selbst dazu gebracht die Mail zu verbreiten. Hauptartikel siehe: Hoax.

Multi User Dungeons Spam

Ende der 80er und Anfang der 90er Jahre entstanden im frühen Internet die so genannten Multi User Dungeons. Dabei handelt es sich um eine Art von Rollenspielen auf Textbasis, die aber auch häufig einfach als Chaträume verwendet werden. Die Nutzer verbinden sich über das Telnet-Protokoll mit dem MUD. Das simple Textinterface führt es mit sich, dass jeder Nutzer die Gespräche aller anderen Nutzer, die im selben virtuellen Raum aufhalten, mitbekommt. Als MUDs noch weiter verbreitet waren, nutzten Provokateure – in anderen Teilen des Internet auch als Trolle bezeichnet – diesen Fakt gerne aus, um über selbstgeschriebene Makros den gleichen Satz mehrere hundert Male in das System zu posten und so jede Unterhaltung der anderen Mitglieder effektiv unmöglich zu machen. Dies wurde in Anlehnung an den oben beschriebenen Monty-Python-Sketch, in dem sich die Wikinger ähnlich verhalten, als „Spamming“ bezeichnet. Quellen für die Herkunft des Begriffs „Spam“ aus den MUDS finden sich unter den Weblinks.

Usenet Spam

Mitte der 1990er Jahre, als noch die wenigsten Menschen und Unternehmen eine E-Mail-Adresse hatten und schon allein von daher massenhafter E-Mail-Versand noch nicht möglich war, fand das Wort „Spam“ seinen Weg ins Usenet. Es sollte die Tätigkeit Einzelner bezeichnen, ihre immer gleichlautende Werbung in tausende von Newsgroups zu posten, ohne sich um die thematische Zweckentfremdung zu scheren oder sich für die nachfolgenden Diskussionen zu interessieren.

Der allererste Spam, der extrem viele Newsgroups verunreinigte, war 1994 eine Werbekampagne des Rechtsanwaltsbüros Canter & Siegel (USA), die dafür warb, bei der Teilnahme an der Verlosung von Greencards behilflich zu sein.

Im Zuge dieses Spams fassten die ersten Benutzer den Mut, ihn zu canceln, also zu löschen, obwohl es gegen die Regeln des Usenet verstößt und in einigen Ländern illegal ist, anderer Leute Beiträge zu canceln. Später ergab eine Umfrage (Strawpoll) im Usenet, dass ca. 90 % aller Benutzerinnen und Benutzer das Canceln von Spam begrüßen.

Die Flut an Spam-Artikeln vor allem in den sexuellen Diskussions-Newsgroups alt.sex.* und in den erotischen Bilder-Newsgroups alt.binaries.pictures.erotica.* eskalierte und nahm gewaltige Ausmaße an. Bis zu über eine Million Spam-Artikel pro Tag wurden eingestellt. Währenddessen entwickelte sich eine Truppe freiwilliger Aktivisten, die mit immer ausgefeilteren und effizienteren Programmen (sog. Cancelbots) den Spam wieder cancelten. In die Geschichte des Usenet eingegangen sind beispielsweise die Spam-Canceller Robert Braver, Lysander Spooner (Pseudonym), Cosmo Roadkill (Pseudonym), Chris Lewis und Andrew Gierth. Letzterer veröffentlichte in der Newsgroup news.admin.net-abuse.announce täglich quasi als Siegertreppchen eine Rangordnung derjenigen, die am Vortag den meisten Spam gecancelt hatten, wobei die ersten in dieser Liste eine Größenordnung von mehreren Tausend erreichten. Diese Aktivisten sprachen sich untereinander mit einer Mailing-Liste ab. Sie demonstrierten zwischendurch durch einen Streik, wie das Usenet ohne ihre freiwillige Arbeit aussehen würde.

Wiki-, Link- und Blogspam

Daneben gibt es noch das so genannte Suchmaschinen- oder Index-Spamming, bei dem der Verursacher die Ergebnisse, die eine Internet-Suchmaschine auf eine Stichworteingabe hin ausgibt, mit speziellen Tricks derart manipuliert, dass auf den vordersten Plätzen Webseiten angezeigt werden, die keine für den Surfer relevanten Informationen enthalten. Auch Logfiles von Webservern sind nicht vor Spam gefeit, diese werden häufig mit gefälschten Referer-Daten gefüttert. Webforen einschließlich Gästebüchern, Blogs und Wikis sind ebenfalls von Spam betroffen.

Mit Wiki- Link- oder Blogspam wird das Ausnutzen der Bearbeitungs-, Kommentar- und Trackbackfunktion von Wikis, Blogs und Gästebüchern durch Suchmaschinenoptimierer bezeichnet. Dadurch, dass Blogs von Suchmaschinen oder Webcrawlern sehr oft besucht werden, können es die Optimierer recht schnell schaffen, dass die von ihnen verlinkten Seiten im Ranking sehr weit vorne stehen.

Siehe auch: Suchmaschinen-Spamming

Spam over Mobile Phone (SPOM)

Auch die Kommunikation per Handy wird von Spam beeinträchtigt. Unerwünschte SMS-Nachrichten oder Anrufe werden als (Mobile) Phone Spam (^*), teils auch als Spam over Mobile Phone (SPOM) bezeichnet. Durch verstärkten Einsatz von Mobile Marketing zur Marktforschung und durch unerwünschte SMS erreicht Mobile Phone Spam in Japan bereits bis zu 90 % des elektronischen Nachrichtenaufkommens. Eine Variante sind sogenannte Spam- oder Ping-Anrufe, die nur Sekundenbruchteile dauern und den Angerufenen zum teuren Rückruf eines Mehrwertdienstes verleiten sollen.

Sonstige

Mittlerweile gibt es spezialisierte Programme für fast jeden über das Internet öffentlich zugänglichen Kommunikationskanal: Spam over Instant Messaging, kurz SPIM benutzt Protokolle wie z. B. IRC, ICQ oder den Windows Nachrichtendienst. Als Spam over Internet Telephony, kurz SPIT werden unerwünschte Anrufe per VoIP bezeichnet.

Technik

---

Technische Voraussetzungen für E-Mail-Spam

Um unerwünschte E-Mail-Werbung zu versenden, wird lediglich ein Mailprogramm benötigt, welches Spam-Mails mit den Empfängeradressen versieht sowie ein SMTP-Relay-Server, welcher diese Mails dann an an die Empfänger versendet. Da jede E-Mail viele (je nach Konfiguration des Servers zwischen wenigen bis einige hundert) Adressaten enthalten kann, wird für die Übertragung an den Relay-Server nur eine vergleichsweise geringe Bandbreite benötigt, ein einfacher Internetzugang und ein durchschnittlicher Rechner reichen völlig aus.

In der Vergangenheit wurden häufig offene Mail-Relays als Relay-Server verwendet, also schlecht konfigurierte Mailserver missbraucht. Dieses Vorgehen hat für den Spammer zwei wesentliche Vorteile: Der Absender wird verschleiert und die eigenen Ressourcen werden geschont. Dank Realtime Blackhole Lists hat die Zahl offener Mail-Relays inzwischen stark abgenommen. Die meisten Mailserver werden im Interesse der eigenen Funktionalität sicher konfiguriert und ermöglichen diesen einfachen Versand nicht mehr. Einige Spammer weichen daher auf Bot-Netze aus, um ihren Spam zu versenden.

Gegenmaßnahmen

---

Maßnahmen gegen E-Mail-Spam

Generell können an jeder Instanz, die Spam erzeugt oder transportiert, Maßnahmen ergriffen werden, welche das Spam-Aufkommen verringern. Derzeit wird Spam hauptsächlich durch Spam-Filter bekämpft. Neuere Verfahren schlagen vor, Spam durch Korrekturen im Simple Mail Transfer Protocol zu bekämpfen. Vereinzelt finden sich auch Vorschläge, Spammern das Sammeln der Empfängeradressen zu erschweren, was aber auf Grund des existierenden Adresshandels nur das Sammeln von Adressen im Internet verhindert, nicht aber die Nutzung von aus anderen Quellen (z. B. Preisausschreiben, Online-Bestellung etc.) stammenden Adressen.

Verhindern, dass die eigene E-Mail-Adresse in die Adressliste von Spammern gerät

Verschleierung von E-Mail-Adressen

Wird für ein öffentliches Forum, zum Beispiel Usenet, eine E-Mailadresse benötigt, lohnt es sich, Wegwerf-E-Mailadressen mit einem internen Zähler (z. B. von Spamgourmet) und einer zeitlich beschränkten Gültigkeit anzulegen.

Da die meisten E-Mail-Adressen aus dem Internet von so genannten „Address-Harvestern“ automatisch aus den Newsgroups und Webseiten extrahiert werden, verspricht es einigen Erfolg, dort keine Adressen zu nennen oder die Adressen so zu verschleiern, dass sie von den Address-Harvestern nicht gefunden werden.

Dazu werden die Adressen so manipuliert, dass sie nur von Menschen, nicht aber von Maschinen verstanden wird. Beispielsweise wird statt „Paul@example.org“ die Adresse „PaulXYZ@example.org (entferne XYZ)“ angegeben oder das @ durch (at) ersetzt. Einfache Robot-Programme erkennen die Manipulation nicht – die E-Mail-Adresse „Paul@example.org“ bleibt UBE-frei.

Fälschungen im Domainteil einer E-Mailadresse (also hinter dem @-Zeichen) sind auch möglich. Um absichtlich, und für Postmaster leichter zu erkennen, eine ungültige Adresse zu verwenden, wurde die Top Level Domain (TLD) .invalid erfunden. Ob sie sich durchsetzen wird ist fraglich – und wenn, werden sich die Harvester voraussichtlich schnell anpassen.

Die häufig empfohlene Unicode-Kodierung der Zeichen in der Form "a@b.c“ stellt für Adresssammler kaum ein Hindernis dar, da beispielsweise der Kommandozeilen-fähige Browser lynx die Adressen korrekt auslesen kann (lynx --dump | grep @). Allerdings hilft es gegen viele einfach gestrickte Adress-Sammler.

Problematisch bei diesen Maßnahmen ist, dass viele Benutzer Mailprogramme verwenden, die ein einfaches Löschen von XYZ aus der Mailadresse nicht zulassen.

Im Header von Usenet-Artikeln, d.h. in den Einstellungen des Newsreaders, verstößt diese Maßnahme gegen RFC 1036 und RFC 2822.

Zudem wird berechtigt die Ansicht vertreten, das Verfälschen von E-Mail-Adressen bekämpfe nicht die Ursachen von Spam, sondern treffe lediglich Anwender und unbeteiligte Dritte: Der antwortenden Empfänger hat zusätzlichen Aufwand zum Ändern der Adresse, zudem können Dritte belästigt werden, wenn die manipulierte Adresse real existiert (aber dem Dritten gehört, nicht dem Absender).

Häufig wird auch eine „Verschlüsselung“ mittels JavaScript vorgeschlagen. Um diese zu knacken, muss der Harvester einen JavaScript-fähigen Browser integrieren. Dies stellt eine etwas höhere Hürde dar, schließt allerdings Nutzer von Browsern, die kein JavaScript unterstützen, aus.

Eine mit modernen Browsern wesentlich einfachere Verschlüsselung zumindest in Webseiten kann über CSS erfolgen, z. B. in der Form: mailname<span style="display:none;">-Löschen Sie diesen Text- </span>@<span style="display:inline;">example.com</span> Die erzeugte Darstellung ist auch für behinderte Menschen leicht lesbar, während Adresssammler bisher aus Effizienzgründen auf die Auswertung von CSS verzichten und daher (derzeit) nicht die korrekte Adresse herausfiltern.

Zugangskontrolle

Eine hohe Sicherheit bieten sogenannte Captchas, mittels derer Menschen von Maschinen unterschieden werden sollen. So wird vorgeschlagen, die E-Mail-Adresse in ein Bild anzugeben oder in einer Audio-Datei zu buchstabieren. Allerdings sind diese Lösungen weder besonders komfortabel noch barrierefrei. Auch bei einer Angabe als Audio-Datei und Bild sind sie zum Beispiel für Taubblinde unverständlich, und selbst für Sehende sind diese Bilder auf Grund von Sehfehlern oder Farbwahrnehmungsstörungen nicht immer lesbar.

Im Usenet und auf Mailinglisten kann auch im „From“-Header eine nicht gelesene „Müll-Adresse“ und „Reply-To“ die eigentliche Adresse eingetragen werden. Damit kommen Antworten an der korrekten Adresse an, die Täter scannen aber normalerweise nur die From-Adressen.

Auf Webseiten stellen Kontaktformulare (CGI oder PHP) eine Alternative zur Angabe der E-Mail-Adresse dar. Sie bieten dem Leser eine Möglichkeit zur Kontaktaufnahme mit dem Webseitenbetreiber ohne, dass eine E-Mail-Adresse angegeben wird und verhindern aber das „Ernten“ der E-Mail-Adresse. Dies geschieht auf Kosten des Komforts, da der Sender nicht seine gewohnte Schreibumgebung verwenden kann (z.B. Tastaturkürzel, Textblöcke, Kopie an sich selbst oder andere Empfänger).

Nutzung von BCC

Um E-Mail-Adressen nicht unnötig zu verbreiten, empfiehlt es sich, E-Mails an viele Empfänger an sich selbst zu adressieren und die eigentlichen Empfänger in das BCC-Feld zu nehmen. Diese erhalten dann eine so genannte Blindkopie (BCC, Blind Carbon Copy). Die Adressen im BCC-Feld werden den Empfängern nicht übermittelt. http://www.jurpc.de/rechtspr/20060078.htm

Allerdings hat diese Methode auch Nachteile. Einige Spamfilter bewerten Mails, die den Empfänger per BCC erreichen, negativ, d. h. sie sehen den Versand via Blind Carbon Copy als ein mögliches Kriterium für Spam. Wer regelmäßig Mails an einen großen Empfängerkreis schickt, sollte daher die Einrichtung einer Mailingliste erwägen.

Maßnahmen für Mailserverbetreiber

Kann der einzelne Benutzer nur verhindern, dass er selbst UBE erhält, bietet sich für Administratoren von Mailservern die Möglichkeit, die Verbreitung von UBE einzuschränken. Dies beginnt bei der richtigen Konfiguration des Mailservers, der es nur autorisierten Benutzern gestatten sollte, E-Mails zu verschicken.

Auf der Gegenseite kann der Mailserver den Empfang von E-Mails, die von so genannten Open Relays stammen, über die jeder unautorisiert Mails einliefern kann, ablehnen. Mehrere Organisationen, zum Beispiel die Open Relay Database, bieten Listen solcher fehlkonfigurierter Mailserver an (RBL), die der Serveradministrator zur Überprüfung nutzen kann. Da sich offene Relais immer seltener finden, ist eine mittlerweile weitaus effektivere Möglichkeit, das Anliefern durch Einwahlzugänge nur nach Authentifizierung zu gestatten. Auch hierfür gibt es öffentliche Datenbanken (DialUp Lists (DUL)).

So genannte Teergruben können das Abliefern von UBE nicht verhindern, bieten aber eine Gegenmaßnahme gegen den Versandmechanismus der Täter, indem sie mit äußerst langsamen Reaktionen eine UBE-versendende Gegenstelle bei der Arbeit aufhalten. Die Kommunikation zwischen empfangenden System und dem UBE-Sendesystem wird quasi zähflüssig wie Teer, anstatt nur Sekundenbruchteile dauert Versandvorgang mehrere Minuten und macht es damit unmöglich, in kurzer Zeit sehr viele Spam-Mails auszuliefern.

Bei automatischen White/Blacklist-Filtern antwortet das Mailsystem des Empfängers zunächst allen unbekannten Versendern und fordert diese auf, sich beim Mailsystem zu registrieren. Durch eine Aktion (z. B. eine Zahl aus einem generierten Bild abschreiben) bestätigt der Sender, dass er ein Mensch ist und ernsthaftes Interesse hat. Wenn er korrekt antwortet, bekommt der Empfänger die bis dahin aufgehobene Mail zugesandt. Der Versender wird daraufhin in die Whitelist aufgenommen. Handelt es sich Spam, kann der Absender nachträglich aus der Weissen Liste auf die Schwarze Liste verschoben werden.

Es gibt noch weitere Registrierungsmöglichkeiten im W/B-Filter-Verfahren, z. B. über einen URL mit ID (z. B. http://www.example.com/mail.php?ID=20032311-021). Systeme der Art, die die Reaktion des Sendenden erfordert, werden auch als Challenge-Response-System bezeichnet. Viele Anwender und (vor allem) Administratoren sehen sie jedoch als „kein zweckdienliches System“ zur UBE-Vermeidung an, und zwar aus folgenden Gründen:

• Die Absenderadresse einer UBE wird im günstigsten Fall mit einer ungültigen Adresse, im Normalfall mit der Adresse eines Unbeteiligten versehen. Im Falle einer ungültigen Adresse führt der Versuch der Zustellung der Challenge-Mail zu einem Bounce, damit also zu einer Ressourcenverschwendung. Ist die Adresse gültig, so wird dieser vom Challenge-Response-System „belästigt“, womit der Benutzer des Systems technisch selbst zum Täter wird (kollateraler Spam).
• Versendet der Benutzer eines Challenge-Response-Systems selbst eine Mail an ein Challenge-Response-System (z. B. eine Mailingliste mit Confirmed Opt-in), kommt es zu dem Effekt, dass beide Systeme jeweils auf die Antwort des anderen Systems warten (die Mailliste auf die explizite Bestätigung, dass die E-Mail-Adresse in die Liste aufgenommen werden soll, das System des Benutzers, dass sich die Mailliste als „regulärer“ Benutzer authentifiziert). Die Aufnahme eines solchen Benutzers erfolgt dann meist durch manuelles Bearbeiten des Maillistenbetreibers, was für diese einen entsprechenden Mehraufwand bei der Administration zur Folge hat.
• Ein Benutzer eines CR-Systems, der an einer Mailliste teilnimmt, verursacht im Allgemeinen eine Vielzahl von Challenge-Mails, da die Absenderadresse bei Mails an die Mailliste im Allgemeinen nicht verändert wird. Dies hat zur Folge, dass sich jeder Maillistenbeteiligte bei jedem einzelnen Benutzer eines solchen Systems authentifizieren muss, damit dieser die jeweilige Mail von der Mailliste erhalten kann. Da dies ab einer gewissen Anzahl von Benutzern von CR-Systemen innerhalb einer Mailliste die Akzeptanzschwelle vieler Benutzer überschreitet, führt dies im Allgemeinen dazu, dass sich die Benutzer solcher Systeme früher oder später aus den Diskussionen ausschließen.

Schwarze und graue Listen (RBL und Greylisting)

RBL-Server sind Server, auf denen die Adressen bekannter Spamversender in Echtzeit gesammelt werden (siehe auch Realtime Blackhole List). Der Server für eingehende Mail kann diese Server anfragen, bevor er eine Mail annimmt. Wenn der Absender als Spammer registriert ist, wird die Annahme verweigert. Ein bekannter, frei zugänglicher RBL-Server ist www.spamhaus.org.

Graue Listen nützen die Tatsache aus, dass Spamschleudern häufig das Mailprotokoll nicht korrekt einhalten (siehe auch Greylisting). Wenn eine Mail eingeht, wird die Annahme zunächst mit einer vorgetäuschten Fehlermeldung verweigert und die Absendeadresse kommt vorübergehend auf eine 'graue Liste'. Wenn der Absender nach einer bestimmten Zeit die Sendung wiederholt, gilt er als konform und wird von der grauen Liste entfernt; anderenfalls wird er ignoriert. Auf Wunsch kann ein einmal als konform erkannter Absender in eine 'weiße Liste' eingetragen werden und wird in Zukunft direkt akzeptiert. Es kann allerdings auch passieren, dass seriöse Absender bei diesem Verfahren durchfallen, weil deren Mailserver falsch konfiguriert sind.

Filter

Inzwischen gibt es eine Vielzahl verschiedener Techniken zur automatischen Erkennung und Entfernung von Spam im Postfach, siehe Spamfilter. Einige E-Mail-Clients (Programme zum Schreiben/Senden/Empfangen einer E-Mail) wie der Mozilla Thunderbird oder Microsoft Outlook haben integrierte, auf dem Bayesschen Filter basierende, selbstlernende Spamfilter, die Werbemails von vornherein aussortieren.

Allerdings leiden die Filter unter ihren Fehlerraten: So werden häufig Spam-Mails nicht zuverlässig erkannt und gelangen trotzdem in den Posteingang, man spricht von „false negatives“. Auch der andere Fehler ist möglich: Erwünschte Mails können durch zu strenge Filter als Spam eingestuft (sogenannte „false positives“) werden und erreichen so den Empfänger nicht oder nur verzögert.

Lediglich gut konfigurierte Spamfilter, die der Benutzer auf sich persönlich zugeschnitten hat, haben hohe Erfolgsquoten. In solchen Fällen lassen sich false positives fast ganz ausschließen und false negatives auf unter 1 % drücken. Allerdings ist der Einmalaufwand für den Benutzer hoch und erfordert eine gewisse Erfahrung. Zudem ist durch immer neue Methoden der Filter ständig zu verbessern und zu erweitern.

Außerdem haben Filter durch die besprochenden Fehlerraten (die immer vorhanden sind) das Manko, dass der Benutzer die E-Mails, die herausgefiltert wurden, im Zweifelsfall noch einmal nachkontrollieren muss und der eigentliche Zweck des Filters sich lediglich darauf beschränkt, eine Vorauswahl für den Benutzer darzustellen.

Zudem ist Filtern unter Umständen rechtlich kritisch: Filtert der Provider oder Arbeitgeber ohne Einwilligung des Nutzers, ist dies nach verbreiteter Rechtsprechung ein Straftatbestand (siehe dazu unten die rechtswissenschaftliche Literatur).

Beschwerden/Rechtsweg

Das wohl effektivste Verfahren zur nachhaltigen Bekämpfung von Spam dürfte sein, sich beim Provider des Spammers zu beschweren. Sollte damit die gewünschte Wirkung ausbleiben, ist der Rechtsweg günstig: Durch die entstehenden Verfahrenskosten und zu zahlenden Ordnungsgelder wird der Versand von Spam unlukrativ.

Die ineffizienteste, aber gemeinnützigste Gegenmaßnahme besteht darin, den Provider des Täters zu ermitteln und sich dort zu beschweren. Die eskalierende UBE-Flut kommt nämlich nur von einer begrenzten Anzahl an Providern, die Beschwerden noch nicht einmal beachten, während nicht wenige andere Provider für solche Hinweise dankbar sind und den Täter spätestens im Wiederholungsfall vor die Tür setzen.

Beschwerden sind nur sinnvoll, wenn man sie so gut es geht automatisiert, um möglichst viele pro Tag zu verschicken. Kritiker (halb-)automatisierter Spam-Reports weisen allerdings zu Recht darauf hin, dass automatisierte oder über entsprechende Dienstleister/Software erzeugte Beschwerden oft fehlerhaft sind und daher nicht selten Unbeteiligte treffen, sondern von den Abusedesks vieler Provider auch pauschal gelöscht werden. Die sinnvollere Alternative kann daher durchaus eine „von Hand“ geschriebene Beschwerde sein, die sich auf die wesentlich Punkte wie Header und Inhalt beschränkt oder sich – im Idealfall – auf weitere Spamsendungen aus gleicher Quelle bezieht.

Zu analysieren ist der Header der E-Mail, der von vielen Mail-Clients gar nicht oder nur mit der Schaltfläche „Quellcode betrachten“ gezeigt wird. Darin ist alles leicht zu fälschen außer den IP-Adressen der MTAs (Mail-Server), die die E-Mail transportiert haben. Diese stehen in Headerzeilen, die mit dem Schlüsselwort „Received“ anfangen, und unterscheiden sich von potenziellen Fälschungen dadurch, dass sie in runden oder eckigen Klammern stehen. Man verfolgt die Kette dieser Weiterleitungen bis zum ersten System, das nicht mehr zum eigenen Provider gehört, denn weiter hinten stehende Systeme können auch gefälscht sein. Zu welchem Provider diese IP-Adresse gehört, ermittelt man mit dem UNIX-Befehl whois und dem Whois-Server der zuständigen Registry.

Das Format, mit dem die einzelnen Whois-Server antworten, ist uneinheitlich. Wenn als angeblicher Provider eine Firma mit einem winzigen Class-C-Netz genannt wird, riskiert man, dass der vermeintliche Provider und der Täter identisch sind. Man muss mit etwas Erfahrung und Geschick den „Upstream“, also den eigentlichen Provider, ermitteln. Beispiel: Die IP-Nummer gehört einer deutschen Firma, die schon vom Namen her Internet-Werbung als Geschäftsziel hat, nur über 128 IP-Nummern verfügt und offenbar über die Telekom ans Internet angeschlossen ist. Dann beschwert man sich direkt bei der Telekom.

Die meisten Provider haben eine eigene Beschwerde-Adresse abuse@..., die jedoch nicht immer im Whois-Server eingetragen ist. Um zu ermitteln, welches die richtige Beschwerde-Adresse zu einer bestimmten Domain ist, leistet http://www.abuse.net/ wertvolle Dienste, wo allerdings nicht direkt anhand IP-Adressen (Nummern) nachgesehen werden kann, weil IP-Adressen öfters den Besitzer wechseln.

Die Beschwerde verfasst man knapp und höflich und hängt eine vollständige Kopie der missbräuchlichen E-Mail (mit > in der ersten Spalte) unten dran, und zwar nicht als Attachment. Dass der Header vollständig, vor allem mit allen „Received“-Zeilen, mit enthalten ist, spielt für den Missbrauchs-Sachbearbeiter eine entscheidende Rolle, um den Täter zu ermitteln. Eine Ausnahme ist abuse@wanadoo.fr, wo Beschwerden mit UBE verwechselt und zurückgewiesen werden, wenn sie mehr von der missbräuchlichen E-Mail zitieren als nur den Header.

Möglichkeiten zur Automatisierung dieses Ermittlungs- und Beschwerdeprozesses bieten Dienstleister wie beispielsweise SpamCop. Wer sich hier registriert hat, kann einfach den Quelltext einer UCE dorthin schicken und erhält in der Regel nur wenige Sekunden später eine Bestätigungsmail. In dieser ist ein Link (zur SpamCop-Website) enthalten, dem man mit dem Browser folgt und dort nochmals bestätigt, dass es sich bei der Mail tatsächlich um „Spam“ handelt. Alles weitere wird von SpamCop übernommen – an wen die Beschwerden letztendlich verschickt werden, lässt sich ebenfalls der letztgenannten Webseite entnehmen.

Verbraucherzentrale

Am 1. Juli 2005 startete das vom Bundesministerium für Verbraucherschutz, Ernährung und Landwirtschaft (BMVEL) zusammen mit dem Verbraucherzentrale Bundesverband e. V. ein Projekt einer Beschwerdestelle zur Bekämpfung von Spam. Unter beschwerdestelle@spam.vzbv.de können Verbraucher dem VZBV per Mail unerwünscht eingetroffene Spams übermitteln. Der VZBV überprüft diese Fälle und wird in geeigneten Fällen juristisch gegen Spam-Versender und deren Auftraggeber vorgehen. Wichtig ist dabei nur, dass man den erweiterten Header der Spam-Mail mitschickt. Da diese Angaben für eine etwaige Rechtsverfolgung notwendig sind, können Mails ohne gesicherte Header-Zeilen leider nicht bearbeitet werden.

Der VZBV arbeitet mit anderen Verbraucherzentralen auf der ganzen Welt zusammen. Sie hat sich zum Ziel gesetzt, Spam mit allen juristischen Mitteln unprofitabel zu machen. Der Service ist kostenlos, und nur für Privatpersonen gedachtBeschwerdestelle der Verbraucherzentrale. Eine Registrierung ist nicht nötig. Die Sache zeigt Wirkung. Besonders Spammer aus Deutschland und dem Rechtsgebiet der EU können sich nicht mehr in der scheinbaren Anonymität des WWW verstecken. Doch auch international ist der VZBV dank mehrerer Kooperationen tätig.

Der Vorteil gegenüber Spam-Filtern liegt hierbei darin, dass die Versender von Spam belangt werden, Spammen illegalisiert wird und somit langfristig das Versenden von Spam zurückgeht. Der Nachteil ist der, dass die Spam-Mails erstmal weiter im Postfach landen und das Weiterleiten inklusive des erweiterten Headers zeitaufwendig ist. Wichtig wäre noch, dass auch gerade die Mails weitergeleitet werden, die ein Spam-Filter bereits aussortiert hat (die meisten Mail-Dienste haben einen Spam-Verdachtsordner, der sich selbstständig löscht).

Ebay / PayPal

Auch Ebay oder PayPal verfolgen natürlich primär im eigenen Interesse Spam-Versender. Diese werden auf Unterlassung verklagt, mit dem Ziel, dass es keine Spam-Mails über die Firma mehr gibt. Ebay und PayPal gehen jedem Hinweis nach und verfolgen die Versender von Spam-Mails weltweit. Dazu muss man nur Spam-Mails, die sich für Ebay bzw. PayPal ausgeben bzw. darauf berufen, mit dem erweiterten Header an folgende Adresse weiterleiten: spoof@ebay.de oder spoof@paypal.de. Man erhält dann eine Antwort, ob die Mail echt war oder nicht, sowie allgemeine Informationen zum Thema.

Mimikry

Neben technischen Möglichkeiten gibt es noch weitere Methoden, den Täter an der Ausführung seiner Geschäfte zu hindern. So können Empfänger von UCE z. B. zum Schein mit falschen persönlichen Daten auf die angebotenen Geschäfte eingehen. Dies bewirkt beim Händler, dem der Täter zuarbeitet, eine Flut von Fehlern bei Bestellungen von Kunden, die vom Täter angeworben wurden. Das führt möglicherweise sogar zur Beendigung des Geschäftsverhältnisses. Dieses Vorgehen lässt sich automatisieren (beispielsweise mit Proxys), ist rechtlich aber höchst fraglich.

Absender von Nigeria-Connection-Mails kann man einfach durch Antworten und das Führen zielloser Diskussionen beschäftigen, das sogenannte „Scambaiting“. Dies bindet beim Täter Zeit, ist aber unter Umständen gefährlich, da man Kriminelle stört, die in der Regel über Verbindungen nach Europa und Nordamerika verfügen. Scambaiting sollte nur von erfahrenen Personen oder unter ihrer Anleitung durchgeführt werden, um die Übermittlung von Daten, die zur Identifizierung führen können, zu vermeiden. Hierzu zählen insbesondere persönliche Daten wie Name, Adresse und Bankverbindung aber auch eigene Bilder, Nicknames in Foren und Chats, IP-Adressen und Telefonnummern.

Maßnahmen gegen Usenet-Spam

• Das unmittelbarste und wirksamste Instrument ist das Canceln. Damit veranlasst man alle entsprechend konfigurierten Newsserver, den Spam zu löschen. Diese Maßnahme greift um so erfolgreicher, je schneller sie auf Spam reagiert, weil sie nur denjenigen zugute kommt, die den Spam noch nicht mit dem Newsreader vom Newsserver heruntergeladen haben. Das Canceln von Spam erfordert die sorgfältige Einhaltung vielfältiger Regeln, man kann dabei sehr viel falsch machen.
• Beschwerden an die Newsprovider der Spammer können bewirken, dass diesen die Nutzungsmöglichkeit des jeweiligen Newsserver entzogen wird.
• Sehr selten werden Newsprovider, die auf Beschwerden nicht reagieren, mit einem Usenet Death Penalty (UDP) belegt, welches in zwei Formen geschehen kann:
  • Passives UDP: Die Administratoren der wichtigsten Newsserver einigen sich darauf, dass alle Usenet-Artikel, die über die Newsserver des „schwarzen Schafes“ gelaufen sind, nicht weitergeleitet werden und damit verschwinden.
  • Aktives UDP: Die Spam-Canceller verständigen sich darauf, alle Artikel, die von den Newsservern des „schwarzen Schafes“ aus ins Usenet gelangt sind, zu canceln, so als seien sie Spam.
• Newsgroups, die „sex“ in ihrem Namen tragen, lassen sich umbenennen. Dies ist sehr erfolgreich mit der ehemaligen Newsgroup de.talk.sex geschehen, die heute de.talk.liebesakt heißt und damit kaum noch Spam anlockt.
• NoCeM als Alternative zum Canceln: Während das Canceln erfordert, jedem einzelnen Spam-Artikel eine eigene Cancel-Message hinterherzuschicken, kommt dieses Verfahren mit Steuernachrichten aus, die gleich ganze Listen von Spam-Artikeln enthalten. Diese NoCeM-Steuernachrichten werden allerdings nur von speziellen Clients verstanden, die nicht besonders weit verbreitet sind, und sind im Gegensatz zu Cancel-Messages nicht imstande zu vereiteln, dass als Folge von Spam Diskussionen über den Spam, die zum Thema der jeweiligen Newsgroup gar nicht passen, die Newsgroup unleserlich machen.
• Moderierte Newsgroups: Die Beiträge gelangen nicht unkontrolliert ins Usenet, sondern werden von einem Moderator abgefertigt, der Spam abfangen kann. Es gelingt nicht immer, einen Freiwilligen für dieses Amt zu finden. Die ehemals sehr erfolgreiche Stellenanzeigen-Newsgroup misc.jobs.offered musste aus diesem Grund abgeschafft werden.
• Serverseitige Maßnahmen: Newsserver-Software lässt sich mit Add-Ons ergänzen, die Spam erkennen und zurückweisen. Dazu gehört z. B. die Software Cleanfeed.
• Clientseitige Maßnahmen: Die meisten Newsreader verfügen über ein sog. Killfile, das steuert, was man zu sehen bekommt. Der Bayessche Filter sortiert erwünschte und unerwünschte E-Mails, nach einem Training durch den Benutzer des E-Mail-Clients.
• Wegwerf-E-Mail-Adressen: Bei der Verwendung von Wegwerf-E-Mail-Adressen gibt der Benutzer anstelle seiner eigenen Adresse eine temporäre, gültige E-Mail-Adresse an. Der Benutzer hält seine eigentliche Adresse somit anonym und verhindert, dass sein E-Mail-Konto mit Spam zugedeckt wird.

Rechtslage

---

Rechtslage in Deutschland

Eine Haftungsfrage für den Versand von E-Mail-Würmern und Trojanern, die den größten Anteil an der UBE nach UCE ausmachen dürften, ist in Deutschland noch umstritten. Unter sehr eingeschränkten Bedingungen sehen einige Autoren zumindest Unternehmen als haftbar an, für Privatpersonen verneint die Literatur überwiegend eine Haftungsverpflichtung. Ein Unterlassungsanspruch gegen versehentliche Wurmversender wurde bislang noch nicht durchgesetzt. Strafrechtlich ist das Erstellen und Verbreiten von Würmern, Viren und Trojanern als Computersabotage relevant. Im Jahr 2005 wurde in Deutschland deswegen ein Schüler als Autor von Netsky und Sasser zu einem Jahr und neun Monaten Haft auf Bewährung verurteilt.

Aus unerwünschter E-Mail-Werbung kann sowohl ein wettbewerbsrechtlicher als auch ein privatrechtlicher Unterlassungsanspruch des Empfängers an den Versender erwachsen. Es ist dabei unerheblich, ob und wie häufig der Spammer schon spammte: Ein Unterlassungsanspruch entsteht ab der ersten E-Mail.

Wettbewerbsrecht

Nach ständiger Rechtsprechung der Instanzgerichte und mittlerweile auch des BGH (BGH, Urteil vom 11. März 2004, AZ: I ZR 81/01) zum alten Gesetz gegen den unlauteren Wettbewerb (UWG) ist eine Zusendung von unerwünschten Werbe-E-Mails nach den gleichen Grundsätzen sitten- und damit wettbewerbswidrig, die schon auf die Werbung per Telex, Telefax und Telefon angenommen wurden.

Demzufolge ist es dem Empfänger nicht zuzumuten, Werbung zu tolerieren, in deren Empfang er nicht eingewilligt hat, wenn dadurch auf Seiten des Empfängers Kosten und/oder eine sonstige Störung entstehen.

Das neue UWG (seit 2004) regelt unmissverständlich die Ansprüche, die an E-Mail-Werbung gestellt werden, damit sie wettbewerbsrechtlich einwandfrei ist. Dazu gehört insbesondere, dass der Empfänger in die Zusendung von Werbung per E-Mail vorher eingewilligt hat. Unterlassungsansprüche aus dem UWG stehen allerdings nur Wettbewerbern des Spammers zu, auch wenn der Begriff Wettbewerber weit ausgelegt wird. Dafür wirkt ein wettbewerbsrechtlicher Unterlassungsanspruch auf den gesamten geschäftlichen Verkehr. Der Spammer darf also auch keinem Dritten mehr unerwünschte Werbung zusenden. Würde er dabei erwischt, droht ihm die Zahlung eines Ordnungsgeldes an die Staatskasse oder sogar Ordnungshaft. Tatsächlich wurden schon Ordnungsgelder gegen Spammer verhängt.

Haftungsrecht

Weniger umfassend, dafür individuell schützend und ohne Wettbewerber-Position lässt sich auch aus dem allgemeinen Haftungsrecht ein Unterlassungsanspruch gegenüber dem Spammer herleiten. Er konstruiert sich, wie jeder Unterlassungsanspruch in diesem Bereich, aus den §§ 1004 analog und 823 Abs. 1 BGB.

Für Privatanwender wird dann auf das allgemeine Persönlichkeitsrecht, das sich aus dem Grundgesetz herleitet, rekurriert, der geschäftliche Anwender sieht einen ebenfalls grundrechtlich geschützten Eingriff in den eingerichteten und ausgeübten Gewerbebetrieb. Beides sind sonstige Rechte im Sinne des §823 Abs. 1 BGB.

Strafrecht

Vermehrt wird in letzter Zeit auch diskutiert, den Absender von unerwünschter Werbe-E-Mail strafrechtlich zu verfolgen. Einen Ansatz lieferte dazu die Dissertation „Zur strafrechtlichen Bewältigung des Spamming“ von Thomas Frank. Eine Zusammenfassung davon war in Computer und Recht 2/2004 S. 123ff. abgedruckt. Allerdings ist die Rechtsprechung dazu noch uneinheitlich, insbesondere sehen die Staatsanwaltschaften derzeit noch keinen Handlungsbedarf.

Anti-Spam-Gesetz

Der Deutsche Bundestag hat am 17. Februar 2005 in erster Lesung den Entwurf eines Anti-Spam-Gesetzes beraten. Das Anti-Spam-Gesetz soll das Teledienstegesetz um folgende Regelung erweitern:

„Werden kommerzielle Kommunikationen per elektronischer Post (E-Mail) versandt, darf in der Kopf- und Betreffzeile weder der Absender noch der kommerzielle Charakter der Nachricht verschleiert oder verheimlicht werden. Ein Verschleiern oder Verheimlichen liegt insbesondere dann vor, wenn die Kopf- oder Betreffzeile absichtlich so gestaltet ist, dass der Empfänger vor Einsichtnahme in den Inhalt der Kommunikation keine oder irreführende Informationen über die tatsächliche Identität des Absenders oder den kommerziellen Charakter der Nachricht erhält.“

Ein Verstoß gegen diese Regelung soll als Ordnungswidrigkeit mit einer Geldbuße bis zu 50.000 Euro geahndet werden. Die Regelung würde allerdings nur die Irreführung über Absender und Inhalt der Mail verbieten, nicht aber das unverlangte Zusenden von Werbe-E-Mails selbst.

Rechtslage in anderen Ländern

Im übrigen Europa ist die Rechtslage durch die Richtlinie des Europäischen Parlaments und des Rates über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (2002/58/EG) vom 12. Juli 2002, die bis Ende 2003 von den EU-Mitgliedstaaten in nationales Recht umzusetzen war, im Ergebnis vergleichbar:

Die Zusendung von E-Mail-Werbung ist nur dann erlaubt, wenn der Empfänger vorher eingewilligt hat. Die konkrete Umsetzung in das jeweilige nationale Recht ist in den jeweiligen Ländern unterschiedlich. Eine Übersicht dazu liefert die Dissertation von Björn Bahlmann „Möglichkeiten und Grenzen der rechtlichen Kontrolle unverlangt zugesandter E-Mail-Werbung. Internationale Regelungen und alternative Lösungsmöglichkeiten“, die nur direkt beim Verlag erhältlich ist.

In Österreich war von 1999 bis 2003 für das Versenden von Massen- oder Werbe-E-Mail nach § 101 Telekommunikationsgesetz (TKG) 1997 die vorherige Zustimmung des Empfängers erforderlich (opt in), UCE und UBE somit verboten. Die Nachfolgeregelung, § 107 TKG 2003, erlaubte UCE an Unternehmen oder Behörden, mit Einschränkungen auch an bestehende Privatkunden, wenn diese weitere Nachrichten ablehnen können (opt out). Massen- oder Werbe-E-Mail an Privatpersonen bedarf weiterhin der vorherigen Zustimmung des Empfängers (opt-in). Seit März 2006 ist der Versand von UCE und UBE (ohne vorherige Zustimmung des Empfängers) wieder generell verboten. Auch eine Mail oder ein Anruf um eine solche Zustimmung einzuholen erfüllt den Tatbestand nach § 107 TKG. Zuwiderhandlungen werden von der Fernmeldebehörde mit bis zu 37.000 Euro bestraft. Unabhängig davon besteht die Möglichkeit einer Klage durch den Empfänger auf Unterlassung oder durch einen Mitbewerber wegen unlauteren Wettbewerbs.

In den USA wurde durch den CAN-SPAM-Act Spam im Prinzip verboten. Mittlerweile wurden die ersten Spammer bereits verhaftet, 2004 wurde in den USA ein Spammer zu einer Haftstrafe von 9 Jahren verurteilt.

Australien war Vorreiter in Sachen Anti-Spam-Gesetze und bedrohte Spamming als erstes Land weltweit mit harten Strafen. Allerdings hielt sich die Regierung ein Schlupfloch offen: Parteienwerbung ist, anders als in Deutschland (siehe Ecard), dort erlaubt.

Ausblick auf die nächsten Jahre

---

Im Kampf um/gegen UBE wird von beiden Seiten ein immer größer werdender Aufwand getrieben:

• Das UBE-Aufkommen stieg in den letzten Jahren exponentiell an. Im Jahr 2003 überstieg das UBE-Aufkommen erstmals die Menge der regulären Mails, so eine Meldung von spamhaus.org Ende des Jahres.
• Aufkommende neue Filter- oder andere Techniken zur UBE-Vermeidung werden durch entsprechende Gegenmaßnahmen umgangen:
  • Die Überprüfung der Gültigkeit von Absenderadressen führte zur Verwendung gültiger Adressen mit dem Effekt, dass Unschuldige mit Tausenden bis zu Millionen von Bounces überschüttet wurden.
  • Die Einführung von Filtern, die Mails auf bestimmte Begriffe überprüften, führte zu Mails, die absichtliche Schreibfehler enthielten (beispielsweise „V1a9ra“ statt „Viagra“) oder durch ungültiges HTML (das von HTML-darstellenden Mailreadern ignoriert wird) den wahren Inhalt verschleierten.
  • Das Sperren bekannter offener Relays und bekannter UBE-versendender Server führte zur Verbreitung von Trojanischen Pferden, die die Rechner von regulären Benutzern als UBE-Versender umfunktionierten.
  • Das Einführen von zentralen Listen, die Informationen über offene Relays u. a. verbreiteten und immer öfter von Mailbetreibern genutzt werden, führte zu DoS-Angriffen gegenüber den Betreibern der jeweiligen Liste und deren ISPs.
  • Es wird vermutet, dass das 2003 vermehrte Aufkommen von Würmern auf die Verbreitung und Durchsetzung von statistischen Analysetools (z. B. Bayes-Filtern) zurückzuführen ist.
  • Einige Provider gehen dazu über, den Port 25 zu überwachen oder ganz zu sperren, um eventuell vorhandenen Viren die Möglichkeit zu nehmen, auf diesem Port Mails zu verschicken.
• Neue Übertragungsmethoden von Mail, die eine Authentifizierung der beteiligten Mailserver erlauben, sollen das bisherige System (SMTP) ablösen. Erstellt wird ein neuer Standard von Seiten der IETF, gleichzeitig arbeiten große Mailanbieter an eigenen Lösungen. Das Sender Policy Framework ist ein sehr vielversprechendes Konzept, das auf einem zusätzlichen DNS TXT Eintrag basiert. Es werden bereits Patches für viele populäre sog. MTAs (Mail Transfer Agents) angeboten.

Ein weiterer Ansatz ist die Einführung von virtuellen Briefmarken, den beispielsweise HashCash verfolgt. Dabei muss der Versender pro abgeschickter E-Mail einige Sekunden Rechenzeit investieren, um eine solche virtuelle Briefmarke, die nur für begrenzten Zeitraum und für eine bestimmte Empfängeradresse gültig ist, zu erstellen. Auf der Empfängerseite werden dann E-Mails von unbekannten Absendern von einem Filterprogramm wie SpamAssassin nur dann akzeptiert, wenn sie mit gültigen Briefmarken versehen sind. Das hat zur Folge, dass das massenhafte Versenden von E-Mails erheblichen Mehraufwand bedeuten würde, während der gelegentliche Versender kaum beeinträchtigt ist. Ein Vorteil dieser Methode ist, dass das Überprüfen der Gültigkeit einer virtuellen Briefmarke mit (im Vergleich zum Erzeugen der Briefmarke) sehr wenig Rechenaufwand geschehen kann. Ein Schwachpunkt ist, dass Täter ohnehin nicht mehr ihre eigenen Rechner benutzen und daher auch mehr Rechenleistung zur Verfügung haben.

Die 25 EU-Mitglieder werden künftig beim Kampf gegen Spammer mit 13 asiatischen Ländern – China, Japan, Süd-Korea und den zehn Asean-Staaten – zusammenarbeiten.

Siehe auch

---

• Sender Policy Framework, eine Technik, die das Fälschen von E-Mail-Absenderadressen erschweren soll
• DomainKeys, ein Verfahren zur Authentifizierung von E-Mail-Absendern
• Privatsphäre
• Wurfsendung
• Telefonterror

Literatur

---

Rechtswissenschaftliche Literatur

Rechtsvergleichend

• Bahlmann, Börn: Möglichkeiten und Grenzen der rechtlichen Kontrolle unverlangt zugesandter E-Mail-Werbung. Internationale Regelungen und alternative Lösungsmöglichkeiten. Verlag Dr. Kovac, ISBN 3-8300-1276-4
• Weiler: Spamming – Wandel des europäischen Rechtsrahmens. In: MMR 2003/04, Rd-Nr. 223ff.
• Wendlandt: Europäische, deutsche und amerikanische Regelungen von E-Mail-Werbung – Überlegungen zum Nutzen des CAN-SPAM Act. In: MMR'' 2004/06, Rd-Nr. 365ff.

Deutsche Rechtslage

• Frank, Thomas: Zur strafrechtlichen Bewältigung des Spamming. Kognos Verlag, Berlin, 2004, ISBN 3-8325-0491-5
• Frank, Thomas: You've got (Spam-)Mail. Zur Strafbarkeit von E-Mail-Werbung in Computer und Recht. In: Computer und Recht 2/2004, S. 123ff.
• Heidrich, Jörg / Tschoepe, Sven: Rechtsprobleme der E-Mail-Filterung. In: MMR 2004/02 Rd-Nr. 75ff.
• Heidrich, Jörg / Tschoepe, Sven: Strafbares Filtern. Juristische Fallstricke für Antispam-Software. In: c't, Heise Verlag, Hannover, 2003
• Engels, Thomas (Rechtsanwalt): Werbung per Telefax – Wie man es NICHT machen sollte... – Beitrag zur Rechtslage bei Telefax-Spam nach altem und neuem UWG. aufrecht.de/3991

Technische Literatur

• thh: FAQ. E-Mail-Header lesen und verstehen
• John Graham-Cumming, Die Tricks der Spammer in Hackin 9 3/2004, Software-Wydawnictwo Sp. z.o.o., Warschau, 2004
• Center for Democracy and Technology, Why am I getting all this spam?, 2003
• Tobias Eggendorfer: No Spam! Besser vorbeugen als heilen, Software und Support Verlag, Frankfurt, 2005, ISBN 393504271X
• Tobias Eggendorfer, Privatadresse. Homepages spamsicher gestalten in Linux User 05/2004, Linux New Media, München, 2004
• Tobias Eggendorfer, Ernte – nein danke. E-Mail-Adressenjägern auf Webseiten eine Falle stellen in Linux Magazin 06/2004, Linux New Media, München, 2004
• Tobias Eggendorfer, Spezialfilter. Anti-Spam-Appliance mit Langzeitwirkung in Linux Magazin 09/2004, Linux New Media, München, 2004
• Daniel Rehbein, Adressensammler identifizieren – Ein Beispiel, Dortmund, 2003
• Jo Bager, Wider die E-Mail-Massen. Neue Verfahren gegen Spam in c't 15/2004, Heise Verlag, Hannover, 2004

Weblinks

---

• Verbraucherzentrale Bundesverband e. V.
• Internet-Beschwerdestelle für Deutschland
• Rechtslage und kommentierte Urteile
• Organisation zur Bekämpfung von Spam
• Antispam-Strategien – unerwünschte Mails erkennen und abwehren – BSI-Studie
• Über den Ursprung des Wortes „Spam“ – engl.
• Antispam e. V.

World Wide Web | E-Mail | Internetrecht | Wettbewerbsrecht | Usenet | Informatik und Gesellschaft

Corréu puxarra | Спам | Correu brossa | Spam | Spam | Spam (electronic) | Spamo | Spam | Zabor-posta | هرزنامه | Roskaposti | Spam | Spam | דואר זבל | Spam | Spam | スパム (メール) | 스팸 (메시지) | Spamas | Spam | Spam | Spam | Spam | Spam | Спам | Spamming | Spam | Spam (éléktronik) | Skräppost | สแปม | Yığın ileti | Спам | Thư nhũng lạm | 垃圾邮件